Membantu menguji mitigasi pelacakan kembali

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

Sebagai bagian dari upaya kami untuk meningkatkan privasi di web, tim Chrome telah aktif berupaya mencegah pelacakan pengguna lintas situs. Kami berencana meluncurkan mitigasi untuk membatasi pelacakan dari teknik tertentu yang disebut "pelacakan pantulan" nanti pada tahun ini.

Meskipun kami tidak berharap banyak situs non-pelacakan akan terpengaruh secara negatif oleh perubahan ini, kami ingin mengundang developer untuk menguji fitur baru ini dengan tombol fitur dan memberikan masukan.

Apakah yang dimaksud dengan pelacakan kembali?

Pelacakan pantulan adalah teknik yang memungkinkan situs pihak ketiga menyimpan cookie meskipun cookie pihak ketiga diblokir. Kode pelacakan pihak ketiga yang disertakan di halaman dapat digunakan untuk mengalihkan pengguna ke situs pelacak, tempat cookie dapat ditetapkan, lalu kembali ke halaman asli. Pengalihan ini sering kali dapat terjadi begitu cepat sehingga pengguna bahkan mungkin tidak menyadarinya.

Pelacakan pantulan dapat dilakukan sebagai "pantulan kembali" atau "pantulan".

Menampilkan contoh pantulan kembali dengan site1.example mengalihkan ke tracker.example, cookie diakses, lalu mengalihkan kembali ke situs asli.

Pelacakan Kembali Memantul.

Menampilkan contoh pantulan melalui tempat site1.example mengalihkan ke tracking.example. cookie yang diakses, lalu mengalihkan ke site2.example.

Memantul Melalui Pelacakan.

Di kedua kasus, pengguna mungkin tidak mengetahui bahwa mereka telah mengunjungi tracker.example. Pengguna mungkin yakin bahwa mereka hanya mengunjungi site1.example atau mencoba membuka site2.example.

Apa yang ingin diubah Chrome?

Chrome bermaksud melindungi pengguna dari pelacakan kembali dengan menghapus status secara berkala untuk situs pelacakan ini. Prosesnya akan berjalan sebagai berikut:

  1. Chrome akan memantau navigasi dan menandai situs secara internal yang menjadi bagian dari "stateful pantulan". Ini berarti navigasi dialihkan melalui situs, dan bahwa situs mengakses status selama pengalihan. Hal ini mencakup pengalihan yang dimulai server dan pengalihan sisi klien tempat JavaScript memicu navigasi secara terprogram. Status akses mencakup cookie dan jenis penyimpanan lainnya; misalnya, localstorage, indexedDB, dan sebagainya.
  2. Chrome akan memeriksa daftar situs yang ditandai secara berkala dan memeriksa untuk melihat apakah pengguna telah aktif menggunakan situs dengan berinteraksi dengan situs tersebut dalam 45 hari terakhir. Interaksi ini dapat terjadi sebelum, selama, atau setelah pantulan terdeteksi.
  3. Jika situs tidak memiliki interaksi pengguna dan cookie pihak ketiga diblokir, statusnya akan dihapus.

Kami berharap dapat meluncurkan perubahan ini kepada pengguna yang telah memilih untuk memblokir cookie pihak ketiga pada awal Kuartal 3 2023.

Apakah hal ini akan mengganggu alur pengalihan lain?

Pemeriksaan interaksi pengguna dimaksudkan untuk melindungi situs yang tidak melacak agar tidak dihapus jika situs tersebut juga menggunakan alur pengalihan. Misalnya, SSO, autentikasi gabungan, dan alur pembayaran sering melakukan interaksi semacam ini. Oleh karena itu, kami tidak memperkirakan SSO, autentikasi federasi, atau alur pembayaran akan terpengaruh. Misalnya, tindakan login ke penyedia identitas, akan dihitung sebagai interaksi pengguna dan mencegah penghapusan.

Bagaimana cara mengetahui apakah situs saya terpengaruh?

Mitigasi pelacakan kembali tersedia untuk diuji dengan tombol fitur dari Chrome versi 115 (saat ini Canary terbaru):

  1. Buat profil Chrome baru. Profil yang sudah ada yang Anda gunakan untuk pengembangan web mungkin memiliki interaksi yang dicatat di situs pantulan yang mungkin tidak dialami pengguna situs biasa.
  2. Tetapkan tanda di chrome://flags/#bounce-tracking-mitigations ke "Diaktifkan Dengan Penghapusan".
  3. Aktifkan pemblokiran cookie pihak ketiga di chrome://settings/cookies dengan memilih "Blokir cookie pihak ketiga".
  4. Lakukan alur kerja Anda yang melibatkan pengalihan.
  5. Buka tab Masalah Chrome DevTools dan cari pesan berjudul "Chrome mungkin segera menghapus status untuk situs perantara dalam rantai navigasi terbaru".
  6. Paksa pemeriksaan penghapusan pelacakan kembali agar dilakukan dengan membuka DevTools Application Panel, mengklik bounce Tracking Mitigations di bagian Background Services, lalu menekan Force Run. Atau, Anda dapat menunggu hingga dua jam sampai penghapusan terjadi.
  7. Lakukan alur kerja Anda yang seharusnya memiliki status di situs yang dikembalikan.

Misalnya, jika pada langkah (4) Anda mengunjungi halaman demo ini dan memilih link "bounce me", Anda akan melihat masalah DevTools:

Screenshot masalah DevTools yang menunjukkan bounce-tracking-demo-tracker.glitch.me berisiko dihapus.

Screenshot masalah DevTools.

Kemudian, di langkah 6, Anda bisa memaksa penghapusan agar segera terjadi dengan menggunakan Panel Aplikasi DevTools:

Screenshot tab aplikasi devtools dengan panel mitigasi pelacakan kembali yang dipilih. Panel menunjukkan bahwa operasi uji coba telah digunakan dan penyimpanan untuk situs demo tersebut telah dihapus.

Panel mitigasi pelacakan kembali DevTools.

Jika Anda kemudian mengunjungi kembali demo dan melakukan pantulan, Anda akan melihat ID baru yang dibuat karena status telah dihapus.

Kasus penggunaan perusahaan

Beberapa perusahaan menggunakan perangkat terkelola dengan cara yang otomatis membuat pengguna login ke situs SSO mereka. Karena pengguna tidak berinteraksi dengan situs SSO, Chrome dapat memperlakukan situs tersebut sebagai pelacak kembali.

Untuk mengurangi masalah ini, perusahaan dapat menggunakan kebijakan cookie guna mengaktifkan cookie pihak ketiga untuk situs SSO. Dengan demikian, mitigasi pelacakan kembali tidak akan diterapkan untuk situs tersebut.

Masukan

Anda dapat memberikan masukan di pelacak bug Chromium menggunakan komponen "Privacy>NavTracking". Masukan juga dapat diberikan sebagai masalah Mitigasi Pelacakan berbasis Navigasi W3C PrivacyCG.